Platform
java
Component
ca.uhn.hapi.fhir:org.hl7.fhir.validation
Opgelost in
6.9.5
6.9.4
CVE-2026-34361 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de FHIR Validator HTTP service. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om ongeauthenticeerde HTTP-verzoeken te versturen naar door de aanvaller gecontroleerde URL's, wat kan leiden tot het stelen van authenticatietokens. De kwetsbaarheid treft versies ≤6.9.3 van ca.uhn.hapi.fhir:org.hl7.fhir.validation. Een fix is beschikbaar in versie 6.9.4.
CVE-2026-34361 in org.hl7.fhir.core heeft betrekking op de FHIR Validator HTTP-service, met name het niet-geauthenticeerde /loadIG-eindpunt dat HTTP-verzoeken naar buiten stuurt naar door de aanvaller gecontroleerde URL's. Gecombineerd met een startsWith() URL-prefix matching fout in de credential provider (ManagedWebAccessUtils.getServer()), kan een aanvaller authenticatietokens (Bearer, Basic, API-sleutels) stelen die zijn geconfigureerd voor legitieme FHIR-servers door een domein te registreren dat overeenkomt met een geconfigureerd server-URL-prefix. Dit maakt de exfiltratie van gevoelige inloggegevens mogelijk, waardoor de beveiliging van gezondheidsgegevens in gevaar komt.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardige HTTP-server in te stellen die een legitieme FHIR-server nabootst. Door een domein te registreren dat overeenkomt met een URL-prefix van een kwetsbare FHIR-server, kan de aanvaller de FHIR-validatieservice misleiden om authenticatieverzoeken naar zijn kwaadaardige server te sturen. De kwaadaardige server kan vervolgens de authenticatietokens onderscheppen en stelen. De complexiteit van de exploitatie hangt af van de configuratie van de FHIR-omgeving en de beschikbaarheid van een domein dat overeenkomt met het kwetsbare URL-prefix. Het ontbreken van authenticatie op /loadIG vergemakkelijkt de exploitatie.
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34361 is het upgraden naar versie 6.9.4 of hoger van org.hl7.fhir.core. Deze versie corrigeert de startsWith() URL-prefix matching fout in ManagedWebAccessUtils.getServer(). Daarnaast wordt aanbevolen om de toegang tot het /loadIG-eindpunt te beperken tot vertrouwde bronnen en het implementeren van authenticatie voor dit eindpunt te overwegen. Controleer de configuraties van credential providers om ervoor te zorgen dat er geen brede URL-prefixen bestaan die kunnen worden misbruikt. Het implementeren van een Web Application Firewall (WAF) kan helpen bij het detecteren en blokkeren van exploitatiepogingen.
Actualice HAPI FHIR a la versión 6.9.4 o superior. Esta versión corrige la vulnerabilidad SSRF y la fuga de credenciales. La actualización evitará que atacantes no autenticados exploten el endpoint /loadIG para realizar solicitudes HTTP a URLs controladas por el atacante y robar tokens de autenticación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
FHIR (Fast Healthcare Interoperability Resources) is een standaard voor de interoperabiliteit van gezondheidsgegevens die de uitwisseling van informatie tussen verschillende gezondheidszorgsystemen vergemakkelijkt.
Deze kwetsbaarheid kan aanvallers in staat stellen authenticatiegegevens te stelen, waardoor ze mogelijk ongeautoriseerde toegang krijgen tot vertrouwelijke gezondheidsgegevens.
Werk onmiddellijk bij naar versie 6.9.4 of hoger van org.hl7.fhir.core.
Naast het upgraden, beperk de toegang tot /loadIG, implementeer authenticatie en controleer uw credential provider configuraties.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar beveiligingsaudits en penetratietests worden aanbevolen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.